Escolar Documentos
Profissional Documentos
Cultura Documentos
Forense Computacional Fundamentos Tecnologias e Desafios Atuais
Forense Computacional Fundamentos Tecnologias e Desafios Atuais
desafios atuais
SBSeg 2007
Autores
Mestre em Cincia da Computao pela UFRGS, Bacharel em Cincia da
Computao pela PUCRS. Atualmente perito criminal do Estado do Rio Grande
do Sul (SSP/IGP Instituto Geral de Percias) e professor da Graduao
Tecnolgica em Segurana da UNISINOS. Contato: evandrodvp@unisinos.br
Mestre em Computao Aplicada e Bacharel em Informtica - Hab. Anlise de
Sistemas pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente
coordenador executivo e professor da Graduao Tecnolgica em Segurana da
UNISINOS. Contato: llemes@unisinos.br
Tecnlogo em Segurana da informao Graduado na Universidade do Vale do
Rio dos Sinos UNISINOS. Criador e mantenedor da distribuio FDTKUbuntuBr (Forense Digital ToolKit), Analista de suporte em uma multinacional
qumica em Novo Hamburgo - RS. Contato: pneukamp@gmail.com
Mestre em Computao Aplicada e Especialista em Redes de Computadores pela
Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente professor da
Graduao Tecnolgica em Segurana, Desenvolvimento de Jogos e Engenharia da
Computao desta instituio. Contato: glaucol@unisinos.br
Mestre em Computao Aplicada e Bacharel em Informtica (Anlise de Sistemas)
pela Universidade do Vale do Rio dos Sinos UNISINOS. Atualmente trabalha em
uma empresa de desenvolvimento de software em So Paulo. Possui interesse nas
reas: Peer-to-Peer, Redes e Segurana. Contato: marlomk@unisinos.br
2
Roteiro
Introduo
Cdigos maliciosos (malware)
Forense computacional
Tcnicas forenses
Exame dos dados
Ferramentas forenses
Estudos de caso
Desafios atuais em forense computacional
Consideraes finais
Introduo
Cyber crime: so utilizados dispositivos eletrnicos, computadores e
Internet
y Mais difcil de ser investigado devido possibilidade de anonimato
y As evidncias podem estar distribudas em diversos servidores
Introduo
Ocorrncias mais comuns:
y Calnia, difamao e injria via e-mail
y Roubo de informaes confidenciais
y Remoo de arquivos
Outros crimes:
y Pedofilia
y Fraudes
y Trfico de drogas via Internet
Introduo
Investigaes comeam a depender de conhecimento tcnico para
desvendar crimes cibernticos forense computacional
Forense Computacional pode ser definida como a inspeo
cientfica e sistemtica em ambientes computacionais, com a
finalidade de angariar evidncias derivadas de fontes digitais para
que seja possvel promover a reconstituio dos eventos
encontrados (podendo assim, determinar se o ambiente em anlise
foi utilizado na realizao de atividades ilegais ou no autorizadas)
Backdoors
Spywares
Worms
Keyloggers
Rootkits
Bots
7
Mdias removveis
E-mails
Downloads
Diretrios compartilhados
10
11
13
14
15
16
17
18
19
20
21
22
26
27
Baseado em hooking
Processo de instalao simples
Interface amigvel
Preo acessvel: U$ 34,95
Verso de avaliao disponvel
Pode ser executado em modo background e ficar invisvel ao
gerenciador de tarefas do Windows!
30
31
32
33
36
37
39
40
41
42
43
temporrios;
de configurao;
de swap;
de dados;
de hibernao;
de log.
44
Ex.: utilitrio dd (Linux) - pode ser usado para coletar os dados volteis
como os contidos na memria e para realizar a duplicao das fontes
de dados no-volteis.
46
Tipo
Extenso
Nome
Permisso de acesso
Caminho
Etc.
48
49
50
51
52
54
55
Finalidade da investigao
Autor do laudo
Resumo do incidente
Relao de evidncias analisadas e seus detalhes
Concluso
Anexos
Glossrio (ou rodaps)
56
57
58
59
Rootkits podem:
y Modificar as ferramentas (comandos) do sistema operacional e assim
permanecerem com acesso ao host e no serem identificados;
y Inserir filtros em determinadas partes do S.O. que impedem a
visualizao de algumas informaes;
60
61
62
63
Tcnicas Forenses
Relembrando...Boas prticas que antecedem a coleta dos dados:
y Esterilizar todas as mdias que sero utilizadas ou usar mdias novas
a cada investigao
y Certificar-se de que todas as ferramentas (softwares) que sero
utilizadas esto devidamente licenciadas e prontas para utilizao
y Verificar se todos os equipamentos e materiais necessrios (por
exemplo, a estao forense, as mdias para coleta dos dados, etc.)
esto a disposio
y Quando chegar ao local da investigao, o perito deve providenciar
para que nada seja tocado sem o seu consentimento, com o objetivo
de proteger e coletar todos os tipos de evidncias
y Os investigadores devem filmar ou fotografar o ambiente e registrar
detalhes sobre os equipamentos como: marca, modelo, nmeros de
srie, componentes internos, perifricos, etc.
y Manter a cadeia de custdia.
65
66
68
70
71
72
73
74
75
76
77
78
79
Imagem
(1) + (2)
Fonte: http://www.ene.unb.br/~juliana/cursos/pimagens/projetos/alunos/alaorandre
80
81
82
83
84
Ferramentas Forenses
Algumas ferramentas forenses sero mostradas nas etapas:
y Coleta dos dados
y Exame dos dados
y Anlise dos dados
85
87
88
89
Wipe
secure-delete
pgp wipe
The Defiler's Toolkit.
91
Sobrescrita de bits 1
Sobrescrita de bits 0
Sobrescrita de bits aleatrios
Combinao das anteriores n vezes
92
93
Estudos de caso
Com base em investigaes reais, quatro estudos de caso sero
apresentados
Acesso remoto de uma empresa outra, considerado pela
denunciante como indevido (sem permisso)
Investigao de um possvel roubo de informaes, mais
especificamente, de dados bancrios
Investigaes para a descoberta da origem de e-mails
y Mquina suspeita (origem do e-mail)
y Mquina da vtima
95
98
101
102
103
104
107
108
109
114
115
116
117
mecanismos de autenticao
verificao de integridade
controle de acesso as evidncias
no-repdio
118
119
120
121
Consideraes finais
Forense computacional um tema bastante atual e que tem recebido
significativa ateno tanto da comunidade cientfica quanto da
indstria.
Muitas fraudes eletrnicas se baseiam na ingenuidade de usurios e
conseqentemente na execuo de malwares.
Muitas vezes a investigao no pode prosseguir sem a verificao
de computadores de suspeitos necessidade de pessoal
qualificado!
Sobre a anlise post mortem existe mais material disponvel para
pesquisa, porm a demanda pela anlise live deve aumentar (casos
de flagrante).
extremamente importante seguir as boas prticas de forense para
evitar o descarte de um laudo em um processo judicial.
122
Consideraes finais
H ainda muito a ser pesquisado, como mostrado em desafios
atuais, muitas tarefas ainda dependem exclusivamente do perito.
Novas ferramentas/bases de assinaturas de arquivos ajudariam os
peritos no exame dos dados, especialmente na anlise live.
O surgimento de legislao e padres a serem aplicados (Brasil)
referentes forense computacional tornariam menor a chance de
laudos serem inutilizados por falta de experincia dos peritos.
123
Dvidas?
Muito obrigado!
124